Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 20:20



Ответить на тему  [ Сообщений: 20 ] 
перевод asa с ipsec crypto map на vti 
Автор Сообщение

Зарегистрирован: 09 мар 2018, 16:19
Сообщения: 47
Доброго времени суток.

По многочисленным советам занялся темой перевода работы головного офиса и филиалов на VTI.
В головном офисе стоит asa 5520 в филиалах в основном 891.
Не буду прилагать все конфиги, думаю пока это не требуется.
Проштудировал немного интернета, сконфигурировал туннельные интерфейсы на обоих сторонах.
Пытаюсь переключить тестовый филиал.
команда перевода на 891 следующая:
interface Tunnel1
no shut
interface FastEthernet4
no crypto map vpn_map
ip route 192.168.0.0 255.255.255.0 172.16.2.1
no crypto map vpn_map 10 ipsec-isakmp

на asa:
no crypto map Outside_map 1
....
route Outside 172.20.1.0 255.255.255.0 172.16.2.2

интерфейсы не поднимаются, ошибка на asa в дебаге такая:
Aug 11 15:16:51 [IKEv1]Group = 11.11.11.11, IP = 11.11.11.11, Static Crypto Map Check by-passed: Crypto map entry incomplete!
Aug 11 15:16:51 [IKEv1]Group = 11.11.11.11, IP = 11.11.11.11, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface Outside
* 11.11.11.11 замен

Думаю ошибка из-за того что на asa еще есть:
crypto map Outside_map interface Outside

убрать её пока тяжело, это отключение всех филиалов, хотелось бы планомерно, постепенно всё переключить.
Возможно по выводам ошибаюсь, прошу помощи.


11 авг 2022, 14:28
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
ASAv ставите и забываете


11 авг 2022, 18:04
Профиль

Зарегистрирован: 09 мар 2018, 16:19
Сообщения: 47
root99 писал(а):
ASAv ставите и забываете

как еще одна asa решит вопросы с другой? только что появится поле для экспериментов.


12 авг 2022, 11:07
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Извините, но в наше время использовать 5520 - побойтесь бога это решето в области безопасности - ASAv виртуальная с современным софтом разворачиваете параллельно и переключаете, в чём проблема - это задача любого инженера....


12 авг 2022, 11:11
Профиль

Зарегистрирован: 09 мар 2018, 16:19
Сообщения: 47
так это покупать надо, да еще и не продадут сейчас.
либо использовать старое ломаное, опять тоже "безопасное"

+на в vcenter лить и пробросом сетей провайдера, исторически стараюсь средства связи оградить от серверной инфраструктуры


12 авг 2022, 11:57
Профиль

Зарегистрирован: 09 мар 2018, 16:19
Сообщения: 47
снова прошу помощи, сижу второй день, гугл не рулит!
на asa и cisco 891 туннельные интерфейсы в состоянии up

пинг с 891 на ip тунеля asa не идет, точнее ответ с asa не доходит


debug icmp trace на asa показывает
ICMP echo request from 172.30.2.2 to 172.30.2.1 ID=75 seq=0 len=72
ICMP echo reply from 172.30.2.1 to 172.30.2.2 ID=75 seq=0 len=72

ICMP echo request from 172.30.2.2 to 172.30.2.1 ID=75 seq=1 len=72
ICMP echo reply from 172.30.2.1 to 172.30.2.2 ID=75 seq=1 len=72

ping 172.30.2.1 source tunnel 0
srb-gw1#ping 172.30.2.1 source tunnel 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.30.2.1, timeout is 2 seconds:
Packet sent with a source address of 172.30.2.2
.....
Success rate is 0 percent (0/5)


srb-gw1#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
XX.XXX.XX.XXX YY.YY.YY.YY QM_IDLE 2141 ACTIVE

Код:
interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr XX.XXX.XX.XXX

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer YY.YYY.YY.YYY port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 85, #pkts encrypt: 85, #pkts digest: 85
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: XX.XXX.XX.XXX, remote crypto endpt.: YY.YYY.YY.YYY
     plaintext mtu 1446, path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4
     current outbound spi: 0x9E4135A7(2655073703)
     PFS (Y/N): Y, DH group: group2

     inbound esp sas:
      spi: 0xA47CBC8C(2759638156)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 29, flow_id: Onboard VPN:29, sibling_flags 80000040, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4250898/1759)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x9E4135A7(2655073703)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 30, flow_id: Onboard VPN:30, sibling_flags 80000040, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4250893/1759)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:




interface Tunnel0
ip address 172.30.2.2 255.255.255.0
tunnel source FastEthernet4
tunnel mode ipsec ipv4
tunnel destination YY.YYY.YYY.YYY
tunnel protection ipsec profile RO_PROFILE

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key KEYKEY address XX.XX.XX.XXX
!
!
crypto ipsec transform-set ts esp-3des esp-sha-hmac
mode tunnel
!
crypto ipsec profile RO_PROFILE
set transform-set ts
set pfs group2


17 авг 2022, 14:19
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Ходите вокруг да около - на сайте циски лежит правильная конфигурация

https://www.cisco.com/c/en/us/support/d ... ec-00.html


17 авг 2022, 16:42
Профиль

Зарегистрирован: 09 мар 2018, 16:19
Сообщения: 47
Эта инструкция для "static crypto map" ,мне же тут несколько раз рекомендовали уйти в сторону vti.
Оставлю тут для истории хорошую ссылку по переходу. Моя проблема актуальна.
https://www.cisco.com/c/en/us/products/ ... enyentries


18 авг 2022, 04:47
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
root99 писал(а):
Ходите вокруг да около - на сайте циски лежит правильная конфигурация

Это неправильная конфигурация. Лет уже 500 как. :-)
И у TS сейчас именно так все и сделано.
Это (crypto-map) использовалось только для совсместимости, когда ASA/FTD не умели в VTI.
Несколько лет уже как умеют.
Текущая правильная конфигурация - это IKEv2 и VTI, то что у них называется FlexVPN.

halt писал(а):
пинг с 891 на ip тунеля asa не идет, точнее ответ с asa не доходит

На 891 на вид вроде все норм.
Не забудьте только открыть снаружи 500/UDP, 4500/UDP и ESP.
Смотрите что там со стороны ASA. У вас появился новый интерфейс.
Разберитесь там в какую зону его нужно относить и т.п.
Читайте доки.

И сейчас уже как-то нехорошо использовать 3DES, SHA-1 и DH и PFS Group2.
Как минимум нужно AES-128, SHA-256 и Group5.

И делайте уже на IKEv2.
Разница в конфиге с IKEv1 в данном случае небольшая.
Но если потом появится необходимость в каких-то фичах IKEv2, то придется опять переделывать.

halt писал(а):
Оставлю тут для истории хорошую ссылку по переходу.

Да, дока хорошая.

Migration to IPsec Virtual Tunnel Interface - Cisco IOS XE White Paper
https://www.cisco.com/c/en/us/products/ ... 44879.html

И вот еще почитайте:

ASA and IOS Crypto VPN’s - comparison and operational choices (BRKSEC-2338.pdf)
https://www.ciscolive.com/c/dam/r/cisco ... C-2338.pdf

Summary
- Use IKEv2: Industry Standard, Vendors are migrating to it
- Use Tunnel interfaces everywhere you can (better scale, easy HA, and lot more!)
- Crypto Maps only with 3rd parties not supporting Tunnels

И вообще там масса полезных док по теме.
Код:
BRKSEC-2342.pdf   Branch Router Security - 2018 Orlando, FL
BRKSEC-2338.pdf   ASA and IOS Crypto VPN’s - comparison and operational choices - 2018 Barcelona
BRKSEC-2881.pdf   Designing Remote-Access and Site-to-Site IPSec networks with FlexVPN - 2018 Orlando, FL
BRKSEC-3001.pdf   Advanced IKEv2 Protocol - 2019 Barcelona
LTRSEC-3004.pdf   Advanced IOS IPSec VPN with FlexVPN Lab - 2018 Barcelona
BRKSEC-3005.pdf   Cryptographic Protocols and Algoritms - 2018 Barcelona
BRKSEC-3036.pdf   Advanced IPSec with FlexVPN and IKEv2 - 2016 Berlin
BRKSEC-3054.pdf   FlexVPN Remote Access, IoT and Site-to-Site Advanced Crypto Design - 2019 San Diego, CA

LTRIOT-2570.pdf   Industrial IoT Gateways in Cellular and VPN Deployments - 2019 Barcelona

BRKRST-2331.pdf   Troubleshooting EIGRP Networks - 2019 San Diego, CA

Требуется регистрация, но она free.
https://www.ciscolive.com/global/on-demand-library.html

_________________
Knowledge is Power


18 авг 2022, 04:50
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Да, и роуты через туннели (и прочие Point-to-Point interfaces) удобнее и нагляднее писать в виде

Код:
ip route 10.10.1.0 255.255.255.0 Tunnel0

Через IP тоже работает, но это не наглядно и актуально только для Ethernet интерфейсов.

_________________
Knowledge is Power


18 авг 2022, 05:40
Профиль

Зарегистрирован: 09 мар 2018, 16:19
Сообщения: 47
Цитата:
И сейчас уже как-то нехорошо использовать 3DES, SHA-1 и DH и PFS Group2.
Как минимум нужно AES-128, SHA-256 и Group5.
И делайте уже на IKEv2.
Разница в конфиге с IKEv1 в данном случае небольшая.
Но если потом появится необходимость в каких-то фичах IKEv2, то придется опять переделывать.

ikev1 я пока делаю умышленно, так проще запуститься. После успешного пинга займусь ikev2.



Цитата:
Разберитесь там в какую зону его нужно относить и т.п.

Можно поподробнее?
Такое ощущение что с asa трафик не уходит или уходит куда-то-то не туда.
хотя бы пару команд для изучения


18 авг 2022, 06:36
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
halt писал(а):
Можно поподробнее?
Такое ощущение что с asa трафик не уходит или уходит куда-то-то не туда.

Возможно.
Я не настолько силен в ASA. Это очень своеОбразная железка. На большого любителя. :-)
Реально же трафик с VTI уходит через outside.
Может там что-то нужно дополнительно разрешать или инспектить. Те же ISAKMP (500 и 4500 UDP) и ESP.
Или еще что-то.
Вот почитайте доку:

CLI Book 3: Cisco ASA Series VPN CLI Configuration Guide, 9.8
Chapter: Virtual Tunnel Interface
https://www.cisco.com/c/en/us/td/docs/s ... n-vti.html

_________________
Knowledge is Power


18 авг 2022, 07:00
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
На АСА5520 нет VTI для начала - единственная конфигурация та что выше


18 авг 2022, 08:11
Профиль

Зарегистрирован: 09 мар 2018, 16:19
Сообщения: 47
Цитата:
На АСА5520 нет VTI для начала - единственная конфигурация та что выше

опечатался, ASA5525 у меня


18 авг 2022, 08:20
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
тогда всё упрощается - не знаете как сделать через CLI включаете ASDM на ASA создаёте VTI все остальные нужные поля заполнятся интуитивно, crypto-map с нужным набором шифров и тд.


18 авг 2022, 08:47
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
halt писал(а):
опечатался, ASA5525 у меня

Отлично. Т.е. мы обсуждаем настройку неизвестно какой железки с неизвестно каким софтом!
Версия софта то в ASA какая?

root99 писал(а):
crypto-map с нужным набором шифров и тд.

transform-set наверное?

_________________
Knowledge is Power


18 авг 2022, 09:50
Профиль

Зарегистрирован: 09 мар 2018, 16:19
Сообщения: 47
System image file is "disk0:/asa992-85-smp-k8.bin"


Hardware: ASA5525, 8192 MB RAM, CPU Lynnfield 2394 MHz, 1 CPU (4 cores)
ASA: 4178 MB RAM, 1 CPU (1 core)
I


18 авг 2022, 11:18
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
если быть точным IPSec Profile цепляется на VTI


18 авг 2022, 11:22
Профиль

Зарегистрирован: 09 мар 2018, 16:19
Сообщения: 47
с проблемой разобрался, причина - два провайдера.
я vti поднимал c использованием резервного канала (2-м), пинги с интерфейса вылетали с 1-го.
route до wan 891 через 2-го провайдера решил проблему.
тут где-то встречал реплику что на asa пакет ухоит с интерфейса на который пришел пакет.


viewtopic.php?f=2&t=11757&p=88275&hilit=%D0%B6%D0%B5%D1%81%D1%82%D0%BA%D0%BE%D0%B3%D0%BE#p88275


19 авг 2022, 15:34
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
halt писал(а):
я vti поднимал c использованием резервного канала (2-м), пинги с интерфейса вылетали с 1-го.
route до wan 891 через 2-го провайдера решил проблему.

Если вы про
tunnel source FastEthernet4
то тут очевидно имело место распространенное заблуждение, касающееся source <int_xx>.
Эта конструкция встречается много где, в RADIUS, в ping, etc.
Но значит это только то, что Source IP в пакетах этого сервиса будет IP адресом определенного интерфейса.
Никакого отношения к маршрутизации этих пакетов (к выбору исходящего интерфейса) это не имеет.
Пакеты будут отправляться в соответствии с обычными механизмами маршрутизации (GRT, PBR, F-VRF, etc).
Причем пакеты IPSec туннелей не учитывают local PBR.

halt писал(а):
тут где-то встречал реплику что на asa пакет ухоит с интерфейса на который пришел пакет.

Bessmertniy писал(а):
Ответ в соответствии с таблицей маршрутизации не уйдет через другой интерфейс из-за жесткого rpf на асах.

Ну не знаю, как насчет "жесткого", Reverse Path Forwarding (RPF) включается на интерфейсах.

CLI Book 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1
Preventing IP Spoofing
https://www.cisco.com/c/en/us/td/docs/s ... tools.html

И, кмк, это немного о другом.
Вот почитайте про то, как в ASA учитывается входящий интерфейс при управлении транзитным трафиком сессии.

Что поставить на периметр сети: Cisco маршрутизатор или Cisco ASA? - Хабр
https://habr.com/ru/company/cbs/blog/279857/

"Коснёмся чуточку архитектурных особенностей программно-аппаратной частей. Сразу заметим, что программный код ASA и маршрутизатора абсолютно разный. Поэтому некоторые процессы реализованы по-разному.

Например, маршрутизация. На ASA нет привычного для маршрутизаторов Cisco Express Forwarding (CEF). Используется своя собственная логика: маршрут определяется для сессии единожды при её установлении (чем-то напоминает fast-switching). Можно сказать, что маршрутизатор оперирует пакетами, а ASA – сессиями. На маршрутизацию в ASA может влиять NAT (правильнее сказать: NAT в ряде случаев определяет, куда будут отправлены пакеты той или иной сессии). На маршрутизаторах такого нет, всем «рулит» таблица маршрутизации или PBR. При переключении маршрутизации с одного интерфейса на другой на ASA далеко не всегда сессия будет также переброшена (она может остаться работать на старом интерфейсе). ASA для каждой сессии запоминает не только исходящий интерфейс (т.е. куда слать), но и входящий (откуда изначально пришли пакеты). Эта особенность работы наиболее ярко проявляется, когда у нас есть несколько провайдеров (подключенных через статическую маршрутизацию) и на них есть какие-то публикации. В случае ASA ответные пакеты всегда пойдут через того провайдера, через которого пришёл запрос. Т.е. все публикации будут рабочими. В случае маршрутизатора ответные пакеты будут идти через провайдера по умолчанию. Т.е. только на одном провайдере будут работать публикации (такое поведение можно обойти с помощью плясок с бубном: VRF+BGP)."

_________________
Knowledge is Power


31 авг 2022, 22:30
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 20 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 52


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB